Du bist nicht mit dem Internet verbunden.
Wissen

Sicherheitswarnung: Meitu – Die App schleudert deine persönlichen Daten nach China

Die chinesische App Meitu hübscht deine Fotos nach chinesischem Ästhetikverstehen auf – also mit viel Kitsch, Pastell und Pomp. Und sie sendet ungefragt persönliche Daten nach China. Daher: Installiert die App nicht. Oder deinstalliert sie.

Die Schweizer Gratiszeitung 20 Minuten titelt heute auf ihrer Online-Front «Die total verrückte Selfie-App aus China im Test». Darin beschreibt sie die Features der App mit dem Namen Meitu, die solche Bilder produziert. Es ist davon auszugehen, dass heute eine grosse Anzahl Nutzer sich die «total crazy» App aus dem Store ziehen wird.

Damit setzt sich jeder Nutzer, der sich die App aufs Phone lädt, einem Risiko aus. Denn der Security Researcher FourOctets hat auf seinem Twitter-Feed auf folgendes Sicherheitsleck aufmerksam gemacht.

«Nur damit ihr’s wisst, die Photo App, die euch wie Animefiguren aussehen lässt, schickt eure IMEI nach China»

Da Twitter im InfoSec-Bereich als öffentliches Austauschmittel Fuss gefasst hat, ging die Untersuchung los. Greg Linares äussert sich ungläubig mit dem Tweet «Nur damit ich das richtig verstehe, ihr habt eine App mit folgenden Permissions installiert. Lasst mich wissen, wie gut das geht».

Alle Berechtigungen der Meitu App

Auf Deutsch:

Geräte- & App-Verlauf

  • Aktive Apps abrufen

Standort

  • Ungefährer Standort (netzwerkbasiert)
  • Genauer Standort (GPS- und netzwerkbasiert)

Telefon

  • Telefonstatus und Identität abrufen
  • Fotos/Medien/Dateien
  • USB-Speicherinhalte lesen
  • USB-Speicherinhalte ändern oder löschen

Speicher

  • USB-Speicherinhalte lesen
  • USB-Speicherinhalte ändern oder löschen
  • Kamera
  • Bilder und Videos aufnehmen
  • WLAN-Verbindungsinformationen
  • WLAN-Verbindungen abrufen

Geräte-ID & Anrufinformationen

  • Telefonstatus und Identität abrufen

Sonstige

  • Daten aus dem Internet abrufen
  • Netzwerkverbindungen abrufen
  • System-Anzeigeeinstellungen ändern
  • Zugriff auf alle Netzwerke
  • Audio-Einstellungen ändern
  • Beim Start ausführen
  • Aktive Apps neu ordnen
  • Vibrationsalarm steuern
  • Ruhezustand deaktivieren
  • Google Play-Lizenzprüfung

Zum Vergleich: Die Facebook-App ist in ähnlichem Ausmass an deinen Daten interessiert, bietet aber auch wesentlich mehr Funktionen. Für Meitu würden, wenn die Programmierer minimalistisch hätten vorgehen dürfen, Zugriff auf Speicher und Kamera ausreichen.

Was ist eine IMEI?

IMEI steht für International Mobile Equipment Identity also die Internationale Identität für Mobiles Equipment. Alles smarte in deiner Hosentasche hat eine IMEI, also Smartwatch, Smartphone, Tablet, Phablet und so weiter. Die IMEI-Nummer besteht aus einer Zeichensequenz, alles davon Zahlen. Sie wird für jedes Gerät einzeln vergeben und bleibt in der Regel geheim und ungenutzt. Mit der IMEI kann zweifelsfrei festgestellt werden, welches Telefon zur Signalübertragung genutzt wird.

Die IMEI ist einer der wichtigsten Metadatensätzen im Mobilbereich, denn sie identifiziert dich zwar nicht direkt, aber wenn du nur einen Account auf dem Handy hast, den mit Passwort oder PIN oder Fingerabdruck gesichert hast und dein Account auch noch auf vorname.nachname@gmail.com oder so lautet, dann ist der Fall klar.

Was mit Metadaten alles angestellt werden kann, erklärt der Datenanalyst David Kriesel in diesem Talk ab der Marke 12:08.

Ferner werden laut AndroidPolice.com Daten über das Modell des Smartphones, die Bildschirmauflösung, die Android- oder iOS-Version, die MAC-Adresse des Geräts und noch weitere Daten an chinesische Server übermittelt.

Diese Daten sendet Meitu im Austausch für «total verrückte Selfies» in alle Welt hinaus. Unter anderem nach China, einem Land, das es mit den Persönlichkeitsrechten und dem Gesetz manchmal nicht so hat.

Warum macht Meitu das?

Über die Gründe wird derzeit spekuliert, doch Twitter-User Pheonix7284 glaubt, eine Lösung zu haben. Er verweist dabei auf einen Report der Site InsidePrivacy.com, der die neuen Bestimmungen für Apps aus China beschreibt.

Kurz: Seit dem 1. August 2016 müssen alle Apps, die in China programmiert werden, Metadaten sammeln.

  • Die App muss ihre User authentisieren, indem sie eine verifizierte Telefonnummer oder andere direkt identifizierende Daten an ein Online-Profil knüpfen. Also dein anonymes Twitter-Profil wird mit deinem Account-Namen vorname.nachname@gmail.com verknüpft
  • Activity Logs, also Aufzeichungen deiner Aktivitäten, müssen 60 Tage lang gespeichert werden
  • Die App muss Regulatoren einhalten und Lizenzen beziehen, die App-spezifisch sind. Dies ist nicht genauer umrissen
  • App Provider müssen sicherstellen können, dass ihre Apps keine Posts zulassen, die in irgendeiner Form gegen das chinesische Gesetz verstossen
  • App Provider müssen diese Rechtsverstösse softwareseitig aufspüren können
  • App Provider müssen diese Rechtsverstösse ausnahmslos melden
  • App Provider müssen sich einer oder mehrer Inspektionen der lokalen Autoritäten untwerfen

Da China nach wie vor Zensur ausübt. Beispiel gefällig?

Wenn du in der Schweizer Version Googles nach «Tiananmen Square», also Platz des himmlischen Friedens, suchst, dann kommt als erstes folgendes Resultat.

Erstes Suchresultat: Proteste gegen die Regierung

Wenn du auf auf Google Hong Kong, eine direkte chinesische Version gibt es nicht, nach 天安门广场 – der chinesischen Übersetzung des Ortsnamens – suchst, dann erscheint Folgendes:

Erstes Suchresultat: Der Wikieintrag zum Platz selbst

China hat aber hinter der grossen Firewall eine eigene Suchmaschine. Sie heisst Baidu. Wenn wir also Baidu anschmeissen und nach 天安门广场 suchen, dann erscheint Folgendes:

Von Protesten keine Spur

Die Auswirkung der Zensur

«Was für Proteste», fragst du jetzt. Vielleicht weisst du nicht viel über die Proteste, aber ein Bild davon hast du bestimmt schon gesehen. Chinesen, die nie ausserhalb Chinas suchen, kennen das ikonische Bild des sogenannten Tank Man nicht.

Der Mann mit den Einkaufstaschen ist immer noch unbekannt

Das Bild ist auch aus China relativ einfach zu finden, indem du eine internationale Version Googles direkt ansteuerst. Das Problem ist jetzt aber, dass dies bereits als Verstoss gegen das chinesische Gesetz gelten könnte und dich als politischen Dissidenten brandmarkt. Als Tourist ist das nicht wirklich ein grosses Problem, doch als chinesischer Bürger, der in China leben muss, hast du grösste Probleme, die im Extremfall mit deiner Exekution enden können.

Die Mechanismen, die Chinesischen App-Herstellern aufgezwungen werden – vor allem jene mit Identifikationsmerkmalen – sind also dazu da, diese Dissidenten aufzuspüren und zu identifizieren. Es geht ausnahmsweise mal nicht um Werbung, sondern um Menschenleben.

Nun meine zugegebenermassen polemische Frage: Willst du im Austausch für ein von der Schweizer Boulevardpresse empfohlenes «total verrücktes Selfie» den Chinesen deine Identität preisgeben, damit sie deine Daten analysieren und dich eventuell als potentieller Dissident und Gefahr für ihren Staat brandmarken?

Das könnte dich auch interessieren

381A028021.jpeg
Wissen
Dominik Bärlocher
Dominik Bärlocher
Dominik Bärlocher
Editor
  • 84Artikel geschrieben
  • 0Fragen gestellt
  • 1Fragen beantwortet
  • 0Bewertungen geschrieben
  • 0Bewertungen kommentiert
  • 0Diskussionen gestartet
  • 0Beiträge geschrieben
Mehr Infos...
  • 25 14

WhatsApp-Sicherheitslücke – Der Erfinder spricht über «fundamentales Problem der Kryptographie»

whatsapp_teaser21.jpeg
Wissen
Dominik Bärlocher
Dominik Bärlocher
Dominik Bärlocher
Editor
  • 84Artikel geschrieben
  • 0Fragen gestellt
  • 1Fragen beantwortet
  • 0Bewertungen geschrieben
  • 0Bewertungen kommentiert
  • 0Diskussionen gestartet
  • 0Beiträge geschrieben
Mehr Infos...
  • 35 44

Sicherheitslücke in WhatsApp – Forscher entdeckt Hintertür, Facebook ist es egal

phishing_teaser21.jpeg
Wissen
Dominik Bärlocher
Dominik Bärlocher
Dominik Bärlocher
Editor
  • 84Artikel geschrieben
  • 0Fragen gestellt
  • 1Fragen beantwortet
  • 0Bewertungen geschrieben
  • 0Bewertungen kommentiert
  • 0Diskussionen gestartet
  • 0Beiträge geschrieben
Mehr Infos...
  • 234 60

Auf der Spur der digitec Phishing Mails

digitec_phishing_mails21.jpeg
Wissen
Dominik Bärlocher
Dominik Bärlocher
Dominik Bärlocher
Editor
  • 84Artikel geschrieben
  • 0Fragen gestellt
  • 1Fragen beantwortet
  • 0Bewertungen geschrieben
  • 0Bewertungen kommentiert
  • 0Diskussionen gestartet
  • 0Beiträge geschrieben
Mehr Infos...
  • 280 82

Was die digitec Phisher wirklich wollen

Image sizer
Produktwissen
Dominik Bärlocher
Dominik Bärlocher
Dominik Bärlocher
Editor
  • 84Artikel geschrieben
  • 0Fragen gestellt
  • 1Fragen beantwortet
  • 0Bewertungen geschrieben
  • 0Bewertungen kommentiert
  • 0Diskussionen gestartet
  • 0Beiträge geschrieben
Mehr Infos...
  • 25 19

Blackphone 2 – Ein Android-Smartphone für die Sicherheit

User

Dominik Bärlocher

Journalist. Autor. Hacker. Meine Themen haben meist mit Android oder Apples iOS zu tun. Auch die IT-Security liegt mir am Herzen, denn in unserer Zeit ist der Datenschutz keine Nebensache mehr, sondern eine Überlebensstrategie.

33 Kommentare

User Drachenherz

Dominik, danke für diesen Beitrag. Wie sieht es eigentlich mit der ganzen Hardware made in China aus? Ich habe mal gelesen, dass bei Huawei oder Xiaomi-Handies in der Firmware integrierter und nicht entfernbarer "nach-hause-telefonieren"-Code gefunden wurde. Ist da was dran?

20.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Midni9ht

Vielen Dank an Dominik für diesen Hinweis. Ob an den Gerüchten über Huawei und Xiaomi etwas dran ist, würde mich auch interessieren.

20.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Dominik Bärlocher

Hey ihr zwei

Danke für die netten Worte. Ich werde so lange InfoSec-Texte schreiben, wie ich Herzli dafür bekomme. Weil das beweist, dass ihr die lesen wollt und gut findet.

Das mit der China-Hardware kann ich euch noch nicht sagen, aber ich werde mich sicher mal dahinterklemmen. So ohne jede Recherche aber schätze ich mal (also nagelt mich nicht drauf fest), dass wenn China in irgendeiner Form Daten sammelt, sie das softwareseitig tun. Denn hardwareseitig müsste wohl ein ganzer sekundärer Telefoniekreislauf verbaut werden, der abseits der SIM funktionieren könnte. Theoretisch. Aber ich geh dem mal nach. Kann aber eine Weile dauern. Ich hoffe, ihr habt Geduld.

23.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User arthobc

Herzlichen Dank für die in Aussicht gestellte Recherche!
Bin ebenfalls sehr daran interessiert ...
Und weiterhin besten Dank für die stets sehr interessanten & aufschlussreichen Artikel!

24.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User paul.maceoin

I really like that digitec is posting this kind of information. Although I saw the warning first on twitter, it's nice to know that your local hardware provider is not promoting an app that potentially had dangerous implications for privacy. Thanks guys!

20.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User alain1989

Dieses "Tankman" Foto finde ich einfach unglaublich.

20.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User fippi22

Das ist sehr gut über solche Themen zu informieren. Leider muss man nicht einmal ein App installieren und Google weiss mehr als sie eigentlich dürften. Willkommen in der Ära der Überwachung & Werbung.

21.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User pcfreack12

Das stimmt, jedoch geht es in diesem Beitrag nicht um den Datenhunger von Google, sondern um die Überwachung und Zensurierung des chinesischen Volkes durch deren Regierung.

22.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User C.Rafted

Danke Dominik

Ich finde immer Mehr Posts wie diesen die die Leute auf sicherheits risiken u.ä. hinweisen! finde ich super!

auf für eine Sichere Internet Schweiz!

23.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User .Nyze

Nur noch so als kleiner Hinweis ;) Beziehungsweise als Klarstellung:
In China ist Google ganz geblockt. Nur über jeweilige Proxy-Server in Hong-Kong kann man die Sperre umgehen :).

22.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Anonymous

Whatsapp sendet ungefragt Daten in die USA. Warum warnt ihr davor nicht?

24.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User arthobc

Darüber wird und wurde stets gewarnt. Vorliegend ist - für mich - interessant und hilfreich auch neue Apps in dieser Hinsicht zu kennen.

24.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

Es war eine rhetorische Frage. Im Prinzip kommt's überhaupt nicht darauf an, weil es der Mehrheit einfach schnurzpiepegal ist, was mit ihren Daten passiert, solange sie in Hände von grossen Konzernen oder Staaten fallen. Aber wenn du als Privater Informationen bekommst, bist du gleich ein Datendieb... So zumindest ist die Einstellung vieler.

25.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User bolieth

FYI:
theverge.com/2017/1/20/1434...

22.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User williamsun

Welche Fotoapp kann denn die USB-Speicherinhalte nicht lesen, nicht ändern oder nicht löschen, Bilder oder Videos nicht aufnehmen, Standort nicht ermitteln? Bitte nenne ein Beispiel.

23.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User williamsun

Welche Fotoapp kann denn die USB-Speicherinhalte nicht lesen, nicht ändern oder nicht löschen, Bilder oder Video nicht aufnehmen, den aktuellen Standort nicht ermitteln? Bitte nenne ein Beispiel.

23.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User unfam0us

And what about Facebook (whatsapp), Twitter, Instagram, Cloud application, and whatever, no one unistall them and it's a lot worse, it's not just about metadata but about our entire private life+metadata.

But yes, I will never install that application.

31.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Anonymous

Der Zug ist eh schon abgefahren und je mehr du dich bemühst deine Daten zurück zu halten, umso verdächtiger wirst du;)

20.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User miloradmir

Ich finde es schlecht das Digitec solche politische Beiträge auf eigene Seite zulässt. Dieser Beitrag hat nicht mit Fachwissen zu tun. Wenn Herr Dominik Bärlocher mit der politischen Zensur im China nicht einverstanden ist und Bilder über Proteste im China verbreiten möchte, dann bitte wo anders.

23.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User C.Rafted

Gan klar geht es hier in erster linie darum die User zu schützen und warnen! das Mit der Zensur ist lediglich etwas abgeschweift.

23.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User williamsun

Was kann denn China mit all diesen Informationen einen Digitec User antun?! Ich finde dieser Beitrag auch lächerlich.

23.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User arthobc

Wichtig ist die Information ... was der Leser damit anfängt ist wohl das Ergebnis seines eigenen Denkergebnisses (oder sollte es jedenfalls sein).

24.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User ismailisab

Wirklich schlimm wenn andere wissen welche iOS oder Android Version du benutzst. Oder welche Bildschirmauflösung.

20.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User m.conci

Oder wo du wohnst und dich Aufhälst. Oder mit wem du telefonierst. Jedem das seine! Mich würde es ein wenig stören *sarkasmus off*

20.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User pcfreack12

Google, Facebook, NSA, Microsoft wissen sowiso schon alles über unser Leben, mir doch egal wenn noch jemand mir Unbekanntes beim Telefonieren zuhören kann, hab sowiso nichts zu verstecken. ;D

22.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User ismailisab

Erzähl das mal jemanden hier, kriegst gleich Daumen nach unten :) von den Sicherheitsexperten hier.

22.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User williamsun

@ M.conci: Alle Berechtigungen:

...
Standort
Ungefährer Standort (netzwerkbasiert)
Genauer Standort (GPS- und netzwerkbasiert)

Telefon
Telefonstatus und Identität abrufen
Fotos/Medien/Dateien
USB-Speicherinhalte lesen
USB-Speicherinhalte ändern oder löschen

...

Also, keine Wohnadresse und kein Anrufprotokoll!

23.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User samse999

Ich weiss nicht ob ihr beide nicht lesen könnt, oder einfach eine neue Brille braucht, aber die App macht weit mehr wie nur dein Standort zu checken.
USB-Speicherinhalte lesen
USB-Speicherinhalte ändern oder löschen
Speicher
USB-Speicherinhalte lesen
USB-Speicherinhalte ändern oder löschen
Kamera
Bilder und Videos aufnehmen

Eine App mit diesen Rechten kann so quasi alles was ein User auf seinem Handy macht überwachen.. nicht nur die Bildschirmauflösung..

23.01.2017
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.


Bitte melde dich an.

Du musst angemeldet sein, um einen neuen Kommentar zu erfassen.

Corporate logo